Un cadre de cyber-espionnage récemment identifié est capable de collecter et d’exfiltrer des informations sensibles même à partir de réseaux à écartement limité, rapporte ESET.

Surnommé Ramsay, le cadre semble être en phase de développement, ses opérateurs travaillant toujours sur le raffinage des vecteurs de livraison. La visibilité des victimes est faible, soit parce que le cadre n’a pas fait l’objet d’une large utilisation, soit en raison du ciblage des réseaux restreints.

Ramsay semble être en cours de développement depuis fin 2019, et les chercheurs en sécurité d’ESET pensent qu’il existe actuellement deux versions maintenues, chacune adaptée à la configuration de différentes cibles.

La version 1 du malware, qui semble avoir été développée fin septembre 2019, était distribuée via des documents malveillants cherchant à exploiter CVE-2017-0199.

La version 2, datée de mars 2020, montre une évasion et une persistance raffinées, ainsi qu’un composant spreader et un rootkit. Deux variantes de cette version ont été observées, l’une distribuée via un programme d’installation de leurre et l’autre via des documents malveillants exploitant CVE-2017-11882. La deuxième variante n’a pas l’écarteur.

L’épandeur a été conçu comme un infecteur de fichiers, incorporant des artefacts Ramsay malveillants dans des fichiers exécutables PE trouvés sur des disques amovibles et partagés en réseau. Très agressif, le spreader modifie tous les exécutables PE trouvés sur les disques cibles.

Pour la persistance, le framework utilise plusieurs mécanismes: une clé de registre DLL AppInit, des tâches planifiées via l’API COM et une technique connue sous le nom de détournement de DLL fantôme …